Как получить AWS Key Arn Key от Alias, используя CloudFormation?

Question

Можно ли получить KMS Key ARN, используя CloudFormation, используя псевдоним?Я хочу дать определенные разрешения для ключа в моей учетной записи AWS.

Что-то вроде следующего?

  - Effect: Allow
    Action: kms:Decrypt
    Resource:
      - 'Fn::GetAtt': 
        - 'alias/someAliasOfAKMSKey'
        - 'arn'

Answer 1

Вы можете сделать что-то вроде этого:

- Effect: Allow
  Action:
  - kms:Decrypt
  Resource:
  - !Sub 'arn:aws:kms:${AWS::Region}:${AWS::AccountId}:alias/someAliasOfAKMSKey'
  - !Sub 'arn:aws:kms:${AWS::Region}:${AWS::AccountId}:key/someKeyNameOfAKMSKey'